eblaster spyware has Achilles heel

granska några program illustrerar den dubbla karaktären av konsumentteknik som både konstruktiv och destruktiv bättre än datorspionprogram. Även om det har en legitim användning av föräldrar som övervakar sina barns on-line kommer och går, har det lika potential att bryta mot vuxnas integritet både hemma och på jobbet.

så när SpecterSoft bjöd in El Reg att utvärdera sin senaste eBlaster 3.0, ett spionprogram som företaget marknadsför till berörda föräldrar och nyfikna Chefer, jag var angelägen om att ge det en chans, särskilt med ett sinne för att se hur svårt det skulle vara att besegra.

eblaster-programvaran lämnar lite åt fantasin. Det ” låter dig veta exakt vad dina anställda eller familjemedlemmar gör på Internet, även om du är tusentals mil bort. eBlaster registrerar sina e-postmeddelanden, chattar, snabbmeddelanden, besökta webbplatser och tangenttryckningar-och skickar sedan automatiskt den inspelade informationen till din egen e-postadress”, förklarar företaget.

det finns också ett mycket kontroversiellt Trojan-element som gör det möjligt för användare att infektera andra maskiner på distans:

“om du inte har möjlighet att fysiskt gå till den dator som du vill installera eBlaster, kan du dra nytta av vår Remote Install Add-On, vilket gör att du kan e-posta eBlaster programmet till mottagarens e-postadress. Perfekt för föräldrar med barn borta i skolan eller arbetsgivare med avlägsna kontor.”

SpecterSoft uppmanar användare att inte installera programvaran på en maskin som de inte äger och rekommenderar vidare att varna användare om att deras sessioner kommer att övervakas. Under installationen visas en liten prompt som kräver att man väljer” Ja ” till en pant att programvaran inte kommer att missbrukas.

jag testade det på en nyligen patchad Win-XP Pro-installation. Innan jag installerade eBlaster gjorde jag en säkerhetskopia av registret så att jag kunde spåra ändringar där. När jag hade installerat det gjorde jag omedelbart en ny kopia av registret och jämförde sedan de två filerna med en provversion av BeyondCompare by Scooter Software, ett filjämförelseverktyg.

registerändringar var ganska subtila, utan uppenbara “spionprogram” – poster. Den genomsnittliga användaren skulle förmodligen aldrig upptäcka något misstänkt. Det första som stod ut var en ny hänvisning till nvrcr32.dll, en fil som finns i C:\WINDOWS\system32\. Detta är förknippat med eblaster-installationen, och en snabb sökning av den lokala hårddisken (med systemfiler och dolda filer som ingår i dialogrutan ‘Mer avancerade alternativ’) kommer att avslöja det på infekterade maskiner.

en annan fil eblaster droppar på målmaskinen är mssecrmd.exe, beläget i C:\WINDOWS\system32\, inte omedelbart nämns i registret men lätt att hitta med en sökning på den lokala enheten.

det är lätt att förhindra eBlaster från att skicka e-postmeddelanden om man använder en brandvägg produkt med egress filtrering som ZoneAlarm (den infödda Win-XP ‘brandvägg’ har inte den här funktionen), och förneka Internetåtkomst till explorer.exe. Detta är dock bara en dellösning eftersom personen som använder eBlaster kan kontrollera aktivitetsrapporterna när de har fysisk åtkomst till den infekterade maskinen.

annars är programmet ganska snyggt. Standardtangenten för åtkomst till eblaster-konfigurationen är Alt + Ctrl+Shift + T, men detta kan ändras av ägaren. Naturligtvis kan en slarvig person inte bry sig om att ändra det, så om du får en lösenordsprompt när du anger Alt+Ctrl+Shift+T kan du vara ganska säker på att du har spionprogram. Standardplatsen för eblaster loggfiler, C:\WINDOWS\system32\iase\, kan också ändras.

aktivitetsrapporter som skickas via e-post får automatiskt en dummy returadress så att Spionen inte av misstag vidarebefordrar en rapport till den person som övervakas. Självklart, rapporterna dyker inte upp i offrets ‘skickat mail’ katalog.

eBlaster kit, prissatt till cirka US $100, är väl utformad och skulle vara svårt för den genomsnittliga Windows-användaren att upptäcka och besegra. Det lämnar få spår, och de som det lämnar är oskyldiga. Standard antivirusprogram ignorerar det men det finns kommersiell programvara för att besegra det som SpyCop tillgängligt, men jag har inte testat det. Den personliga upplagan kostar cirka US $ 50.

när det gäller eblasters kärnkonsumentbas kan man föreställa sig att misstänkta makar som överväger skilsmässa kan utgöra den kategorin. Vi noterar att det annonseras på Otrohetidag.med, precis bredvid ett testkit för att identifiera Sperma fläckar på en kvinnas Trosor. På något sätt verkar de två passa ihop helt naturligt. ®